Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
I log del flusso del firewall della piattaforma AWS, inseriti dal connettore di Sentinel, abilitano l'analisi in tempo reale e la correlazione con altre origini dati di sicurezza, ad esempio avvisi di rilevamento, eventi del firewall, log del traffico di rete e altro ancora.
Attributi di tabella
| Attributo | Valore |
|---|---|
| Tipi di risorse | - |
| Categorie | Sicurezza |
| Soluzioni | SecurityInsights |
| Log di base | Sì |
| Trasformazione durante l'ingestione | Sì |
| Interrogazioni di esempio | - |
Colonne
| colonna | TIPO | Descrizione |
|---|---|---|
| Ack | Bool | Indica se il flag ACK è impostato nel pacchetto TCP (true/false). |
| AppProto | corda | Rilevato il protocollo del livello applicazione (ad esempio HTTP, HTTPS, DNS). |
| Zona di Disponibilità | corda | Zona di disponibilità AWS in cui si trova l'istanza del firewall. |
| _BilledSize | autentico | Dimensioni del record in unità di byte |
| DestIp | corda | Indirizzo IP di destinazione del pacchetto. |
| DestPort | corda | Porta di destinazione a cui è stato inviato il pacchetto. |
| Ecn | Bool | Indica se il flag ECN è impostato nel pacchetto TCP (true/false). |
| Data e Ora dell'Evento | corda | Timestamp dell'epoca di quando si è verificato l'evento. |
| TipoDiEvento | corda | Tipo di evento registrato (ad esempio, flusso, avviso, rilascio, passaggio). |
| Pinna | Bool | Indica se il flag FIN è impostato nel pacchetto TCP (true/false). |
| FirewallName | corda | Nome dell'istanza di AWS Network Firewall che genera il log. |
| FlowId | corda | Identificatore univoco per il flusso di rete correlato a questo evento. |
| _IsFatturabile | corda | Specifica se l'ingestione dei dati è soggetta a fatturazione. Quando il valore di _IsBillable è false, l'ingestione non viene fatturata all'account Azure. |
| NetFlowAge | corda | Durata del flusso di rete in secondi. |
| NetFlowBytes | corda | Numero totale di byte trasferiti nel flusso di rete. |
| NetFlowEnd | data e ora | L'istante in cui il flusso di rete è terminato. |
| NetFlowMaxttl | corda | Valore TTL (Time-to-Live) massimo osservato nel flusso di rete. |
| NetFlowMinttl | corda | Valore TTL (Time-to-Live) minimo osservato nel flusso di rete. |
| NetFlowPkts | corda | Numero di pacchetti nel flusso di rete. |
| NetFlowStart | data e ora | La marca temporale all'avvio del flusso di rete. |
| Proto | corda | Protocollo usato ,ad esempio TCP, UDP, ICMP. |
| Psh | Bool | Indica se il flag PSH è impostato nel pacchetto TCP (true/false). |
| Rst | Bool | Indica se il flag RST è impostato nel pacchetto TCP (true/false). |
| SourceSystem | corda | Tipo di agente da cui l'evento è stato registrato. Ad esempio, OpsManager per l'agente Windows: connessione diretta o tramite Operations Manager; Linux per tutti gli agenti Linux; oppure Azure per la diagnostica di Azure. |
| SrcIp | corda | Indirizzo IP di origine del pacchetto che ha attivato l'evento. |
| SrcPort | corda | Porta di origine da cui ha avuto origine il pacchetto. |
| Syn | Bool | Indica se il flag SYN è impostato nel pacchetto TCP (true/false). |
| TCPFlags | corda | I flag TCP osservati nel pacchetto |
| ID dell'inquilino | corda | L'ID dell'area di lavoro Log Analytics |
| TimeGenerated | data e ora | L'indicatore temporale quando è stata creata la voce di log in AWS Network Firewall. |
| Marca temporale: | data e ora | Timestamp esatto in cui è stato acquisito l'evento. |
| TIPO | corda | Nome della tabella |